Sarbanes-Oxley

法案

Sarbanes-Oxley 法案，始创于 2002 年，由美国证券交易委员会 (SEC)提交，经美国总统小布什签署，是即 Enron 公司和 WorldCom 公司曝出财务破产的丑闻之后的一部为消除企业欺诈和弊端的历史性典型法规。

法案目的

该法案主要是针对上市公司财务进行审计的，简单的理解，就是，如果公司都不能保证自己的内部控制的可靠性（例如IT系统可能存在安全隐患等），那么，公司所提供的财务报告就很难具备足够的公信力。

法案介绍

此法案被认为是继 1934 年的证券交易法之后对上市交易公司影响最为广泛的法规。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。而该法案中，以第404节条款的影响最大，第404节条款规定两个必备的内容：一是公司管理层要对公司内控和财务会计报表的制定和编制的有效性、真实性负责，二是必须聘请外部审计师对公司内控和财务报表进行独立审计并出具审计结果。SOX法案对IT服务的成本和质量提出了非常直接的挑战。

为了重振投资者对上市公司财务报告的信心，Sarbanes-Oxley 要求公司的管理者对虚报财务数据承担个人责任。如果公司管理者故意签署了虚假的财务报表，则可能会受到最高达 100 万美元的经济处罚，并可能会被判处 10 年有期徒刑。尽管该法案已于2002年通过，但是随着美国证券交易委员会 (SEC) 设定了一致性截止期限并公布了相关的要求和一致性规则，该法案将继续扩展。根据AMR Research 公司的调查，大约有 85% 的上市公司计划改变其 IT 系统，以作为遵守该法案的部分努力。 AMR 还做出估计，在 2003 年，企业在遵从 Sarbanes-Oxley 的工作中就需花费 25 亿美元。

以安全为中心

Sarbanes-Oxley 最初用于解决诸如帐外交易（灰色交易）之类的特殊情况。当时，安全并不是首要考虑的问题。Sarbanes-Oxley 法包含这样一项规定，即要求 CEO 和 CFO 必须证明其公司拥有适当的内部控制。法律专家指出，如果维护财务数据的体系确系不安全的系统，则高层管理人员很难担保数据的有效性，也很难担保其内部控制的可靠性。因此，内部控制已不再属于“最佳实践”的范畴，而转移至法律需求的范畴。Sarbanes-Oxley 在许多重要的方面改变了财务信息的本质特征。尽管人们对于审查一致性的审计员在安全方面的关注程度仍存在争议，但是正如 Forrester Research 公司的 Mike Rasmussen 所说，“如果没有适当的安全控制机能，高层管理人员实际上无法签名证明财务报表的准确性”。

根据 AMR 对 60 家财富 1000 强公司的调查，大多数公司已实施Sarbanes-Oxley 第一批要求中提出的变更，现在开始进一步改进流程文档。AMR 还发现，接受调查的公司已将 Sarbanes-Oxley 项目的范围扩大到“包括流程和控制的记录、设计和实施，远远超出了财务报告流程”。我们不难领会此举的原因。

主要条款

使用什么策略可以解决 Sarbanes-Oxley 法案的问题？我们来看一下 Sarbanes-Oxley 法案的主要条款以及为达到一致性而推荐的措施。

第 302 条。“公司对财务报表的责任”这一条从去年开始生效。该条款要求 CEO 和 CFO 亲自确认公司的财务结果。第 302 条还简要说明了如果高层管理人员在知情的情况下或故意发布虚假财务报表将受到何种刑事处罚。很显然，大多数公司无需大幅度更改其基础系统，便可与 SEC 法规的第 302 条保持一致。（但是，公司也开始意识到，他们并未完全实施一种足以展示其数据的准确性以及经受得住“应有努力(Due Diligence)”的考验方法）。

第 404 条。正如许多评论人员所言，第 404 条“内部控制评估的管理”提出了最严峻的一致性挑战。这一条款要求审计人员验证公司用以报告财务结果的基本控制和流程。声明包括对控制的评估以及对评估所用的框架的认证。正如 Gartner 所说，第 302 条要求财务报表必须完整并准确，而第 404 条则要求用于生成报表的流程必须准确并符合公认的行业标准。（Committee of Sponsoring Organizations of the Treadway Commission 标准就是一个例子，这一标准是在 20 世纪 80 年代的储蓄和借贷危机后产生的。）第 404 条还要求每季度报告一次实际的流程变更。

按照最初的要求，企业需在今年秋季开始遵从第 404 条规定，但后来 SEC 准予延期。目前大型公司需要在 2004 年 6 月 15 日之前履行上述要求，而小型公司的最后期限为 2005 年 4 月 15 日。

第 409 条。“发布人实时披露信息”这一条款将带来最大的一致性挑战。这一条款要求对影响公司财务业绩的重要事件进行实时报告。尽管 SEC 没有对“实时”进行定义（也没有设定遵从第 409 条的最后期限），但许多公司都将其理解为 48 小时。行业分析师指出，重要的系统集成以及实时通知和事件驱动警报的实施，都必需遵从第 409 条。

遵从之路

定义针对财务报表的内部控制是遵从 Sarbanes-Oxley 的基础。有关专家认为，这些控制包括用以维护精确记录的策略、确保正确记录并报告交易的策略以及防止数据被非法使用的策略。好消息：这些控制类似于其它法规（如 GLBA 和 HIPAA）列出的用于防止数据被非法使用的控制。

许多公司正在寻找根据 ISO 17799 标准设定的风险评估框架。此标准将信息安全作为业务问题加以处理，并涵盖以下主题：系统操作和维护、备份和恢复、文档处理以及数据完整性。（有关 ISO 17799 的详细信息，请单击此处。）

最后，许多有助于确保良好企业管理的“最佳实践”方法，都适用于 Sarbanes-Oxley，如基于策略的安全评估和管理程序包、托管安全服务、入侵防护产品，以及早期预警系统。

五个关键步骤

许多公司正在计划或已经启动了有关 Sarbanes-Oxley 遵从项目的工作。理想情况下，应该依次执行以下事件：

定义 – 该流程（建立遵从委员会之后）的第一步是进行审计，以确定哪些地方需要变更。（请注意，签署公司财务报表的审计人员不能实施推荐的变更。）应当为具有适当流程和控制的公司确定预期的理想状态以确保达到一致性的目标。Gartner 指出，CIO 应当广泛参与审计过程，通常应作为遵从委员会的成员参与其中。

评估 – 审计完成以后，公司便可提出以下问题：我们与 Sarbanes-Oxley 要求相差多远？通过“差距分析”可以得出完整的需求列表，以达到一致性目标。

修改和/或实施 – 必须主动升级与该法律不一致的系统和流程。这里项目时间线十分重要。

衡量 – 实施了期望的一致性状态之后，便需要在一段时间内，对所有流程的质量以及一致性控制要求的情况进行定期评估。

报告/传达 – 完成了最终审计后，便需要将状态通报给适当的管理层。

全国各地天气预报查询

上海市

市辖区

云南省

临沧市

云南省

丽江市

云南省